假冒Facebook电子邮件内含木马病毒 提醒用户注意

CNET科技资讯网10月29日国际报道 安全厂商MX Labs证实，一则伪装成“Facebook密码重设确认函”的电子邮件包藏祸心，附件内含变种的Bredolab木马程序。

该公司说，部分使用者收到由The Facebook Team寄来的电子邮件，寄件者的电邮地址显示为"service@facebook.com"，但其实电邮地址与寄件者都是假造的。

MX Labs发现，这则电子邮件含有附件，文件名是"Facebook_Password_4cf91.zip"，内含"Facebook_Password_4cf91.exe"可执行文件，电邮声称附件中内含使用者的新Facebook帐户密码。MX Labs指出，在"_"与".zip"之间的是为每一收件人随机挑选的字母与数字串。

该附件一旦被使用者下载，就可能在电脑上作乱。MX Labs在一篇博客文章中指出，Bredolab木马程序“执行从网络上撷取的文件，例如恶意反间谍程序(rogue anti-spyware)。为了绕过防火墙，它会把自己的程序代码注入合法的svchost.exe和explorer.exe程序里。Bredolab内含anti-sandbox程序代码(一旦某外部程序侦察其行动，这个木马程序就可能自动退出)」。换言之，它很难缠。

MX Labs说，Bredolab木马程序钻入使用者的PC后，就会在系统文件内建立"%AppData%wiaservg.log"和"%Programs%Startupisqsys32.exe"，并且会建立两个新的程序，称为"isqsys32.exe"和"svchost.exe"。

另一安全厂商M86 Security指出，当Bredolab木马程序闯入使用者的电脑后，就会下载称为"Pushdo"的bot程序。该公司发现，Pushdo会立刻“大量散发更多Facebook密码重设电邮”。

Facebook已立即发布声明，提醒使用者注意，这些电子邮件内含病毒，并不是该社交网络所寄发的。

Facebook发言人说：“这病毒通过电子邮件散布，而这则电邮伪装成Facebook密码重设电邮，另有附件，宣称内含的是新密码，但实际上却是病毒。我们已通过Facebook安全网页，指示使用者如何辨别。”

Facebook还说，使用者“对自称是Facebook意外传来的电子邮件应存疑”，并强调该公司绝不会以附件形式寄新密码给使用者。